De nouvelles précisions de la CNIL quant à la protection des données de santé des salariés dans le cadre de l’épidémie

RH RGPD
Actualité

Dans le contexte de crise sanitaire liée au coronavirus, la CNIL a rappelé quelques principes relatifs au traitement des données personnelles, notamment de santé.

Accès à votre contenu
même hors ligne

Télécharger maintenant

Elle a ainsi déjà rappelé :

  • Les interdictions faites aux employeurs dans la collecte de données de santé de leurs salariés qui iraient au-delà de la gestion des suspicions d’exposition au virus.
  • Les données que les employeurs sont autorisés à collecter dans le cadre du respect de leur obligation de sécurité ainsi que de celle des salariés.
  • Les principes des traitements des signalements par les employeurs.
  • Les principes applicables à certaines pratiques telles que les relevés de températures à l’entrée des locaux, la réalisation de tests sérologiques et de questionnaires sur l’état de santé des salariés.
  • Les traitements de données autorisés.

Retrouvez l’ensemble des recommandations de la CNIL sur ces points dans nos dossiers :

La réorganisation du travail via des solutions logicielles

En période de rebond épidémique, de nombreux projets sont développés dans l’optique de limiter la propagation du virus et de protéger la santé des individus, notamment dans la sphère professionnelle. Les employeurs cherchent en effet à limiter le risque d’exposition des salariés à la COVID-19 sur leur lieu de travail dans un but de prévention des risques professionnels.

Le déploiement de solutions logicielles est ainsi envisagé pour faciliter la gestion par les employeurs de la crise sanitaire.

La CNIL rappelle les points suivants :

1.      L’employeur est responsable de la santé et de la sécurité de ses salariés et doit prendre des mesures de protection collective.

Conformément au code du travail, l’employeur doit veiller à la santé et à la sécurité des salariés.

Si l’employeur a, particulièrement en cette période, une obligation de moyens renforcée, celle-ci est néanmoins circonscrite à l’élaboration de mesures de prévention.

Ainsi, il appartient uniquement à l’employeur de prendre des mesures de protection collective (ex : rappel des mesures barrières et de la distanciation sociale, fourniture des équipements de protection individuelle, de solution hydro alcoolique, etc.), des mesures de protection liées à aux signalements qui lui sont adressés, ainsi que de relayer les messages des autorités sanitaires.

Il n’est donc pas possible pour l’employeur d’établir un diagnostic, une analyse de la vulnérabilité ou toute autre analyse médicale.

2.      L’employeur n’a pas à organiser la collecte de données de santé de l’ensemble des salariés.

La seule situation qui suppose pour l’employeur de prendre des mesures individuelles est le signalement effectué par le salarié lui-même lorsque ce dernier a pu être exposé ou exposer une partie de ses collègues ou du public au virus.

Dans cette situation, l’employeur est notamment amené à définir une mesure individuelle (ex : télétravail) pendant une courte période, le temps que le salarié concerné prenne contact avec un professionnel de santé, seul en mesure d’agir et de prescrire ou de renouveler un arrêt de travail.

Par conséquent, l’employeur n’a pas à systématiser seul l’évaluation du niveau de risque individuel d’exposition au virus COVID-19 de chacun de ses salariés.

3.      Seul le service de santé au travail peut proposer des conditions individualisées de travail

L’employeur qui souhaiterait aller au-delà de ses obligations en s’assurant de l’état de santé de ses salariés pour mettre en place des conditions individualisées de travail doit nécessairement s’appuyer sur le service de santé au travail, seul compétent en la matière.

Le service de santé au travail est en principe seul autorisé à traiter les données de santé des salariés, sauf exceptions limitativement énumérées par les textes (exemples : arrêt de travail, déclarations d’accidents du travail comportant le siège et la nature des lésions, déclarations de grossesse).

Tout dispositif de représentation de la vulnérabilité ou du risque d’exposition d’un salarié au COVID-19 (ex. : indicateur chiffré, QR code de couleur, etc.) est une donnée de santé à caractère personnel (article 4-15 du RGPD) : seul le service de santé au travail peut collecter ou accéder à une telle donnée.

De surcroît, il appartient au médecin du travail de proposer des mesures individuelles d’aménagement, d’adaptation ou de transformation du poste de travail ou du temps de travail justifiées par des considérations relatives notamment à l’âge ou à l’état de santé physique ou mental du travailleur. Seule la nature des mesures préconisées a vocation à être transmise à l’employeur.

Le rôle de l’employeur consiste alors à appliquer ces mesures.

Enfin, la CNIL rappelle que le rôle du service de santé au travail a été précisé au regard de la situation sanitaire actuelle (décret n° 2020-549 du 11 mai 2020).

Référence

Communiqué de la CNIL du 23 septembre 2020.